企業で起こりうるセキュリティにまつわるさまざまなトラブルについて、茂礼手課長と部下の布施木さんの会話形式で、わかりやすく説明する本連載。第2回のテーマは「社内の監視カメラの映像が外部に公開されている」。茂礼手課長が独断で設置した監視カメラが問題になっているよう……

主な登場人物

茂礼手太朗(もれて・たろう)
茂礼手課長と呼ばれている。なにかとやらかしては、布施木君に注意される。

布施木ます子(ふせぎ・ますこ)
布施木君と呼ばれている。なんだかんだと茂礼手課長をサポート。

ある日のオフィスにて


茂礼手: 「おーい、布施木君。匿名で情報提供があったぞ。監視カメラがどうとか」

布施木: 「ちょっと見せてください(メールを見る)。情シスからのメールだ。『あるWebサイトに、監視カメラの映像に映った当社の施設らしきものが公開されている』だって……。何だろう怖い」

茂礼手: 「どういうことだ。わかりやすく説明してくれ」

布施木: 「今の監視カメラはインターネットに接続する機能を持っているんですよ。課長は『IoT』って聞いたことあります?」

茂礼手: 「うむ。『アイオーエス』なら知っているぞ。iPhoneを使っているからな」

布施木: 「違います。IoTは『Internet of Things(モノのインターネット)』のことですよ。あらゆる『モノ』がインターネットにつながって、そこから収集したデータを活用して仕事を効率化したり、ビジネスを変革したりしようという取り組みが進んでいるんです」

茂礼手: 「それで、監視カメラの映像が外部から見られるのはどうしてだ?」

布施木: 「ネットワークに接続されているということは、インターネットを通じて検索可能ってことです。カメラに設定されているIDやパスワードが初期状態の場合は、誰でも簡単にカメラにログインが可能になって、撮影されている映像も、外部から丸見えになってしまうんです」

茂礼手: 「物騒な世の中だなあ(ブラウザを操作しながら)。このサイトがそうなのか」

布施木: 「(サイトを見ながら)これは、間違いなくうちの会社のビルですね。だれが設置したんだろう」

茂礼手: 「あ!」                               


布施木: 「なんですか。まさか……」

茂礼手: 「部長から『これからは防犯が大事だ』と言われて、使ってない監視カメラがあったから、それを入口のところに設置しといたぞ」

茂礼手: 「あ!」                      

布施木: 「課長が犯人だったんかーい。急いでカメラ外してきてくださいよー」


あらゆる「モノ」がインターネットにつながり、セキュリティの脅威も高まっている


今回は、茂礼手課長が設置した監視カメラから、映像が外部に意図せず流出してしまいました。

今、あらゆる「モノ」がインターネットにつながる「IoT」の普及が進んでいます。IoTに対応したモノの数は爆発的に増えており、インターネットに接続するセンサーやデバイスの数は、2020年までに300億個を超えるという予測もあります。

これに伴い、セキュリティの脅威も高まっています。2016年10月には、米国の企業が大規模なDDoS攻撃を受ける被害が発生しました。この攻撃は「Mirai」(ミライ)と呼ばれるIoT機器を狙って感染するマルウェアによって引き起こされたことがわかっています。

また、自動車や医療機器の脆弱性が報じられたり、Webサイト上にネットワークカメラの映像が公開されている事案などが報じられたりしています。

一般的に、IoT機器はパソコンなどと比べてセキュリティの設定が甘く、利用時に必要なIDとパスワードに、初期設定で一般的な単語が設定されているケースがあります。また、あらゆるモノにインターネット接続機能が備わっているため、企業は自社のどこに、どのようなIoT機器があるか、把握、管理が難しいという課題もあります。

こうしたセキュリティの弱点を突いて、攻撃者がIoT機器に不正に侵入し、さらなる攻撃の踏み台にしたり、企業の重要データを盗み出したりするおそれがあります。

こうした被害を未然に防ぐために、IoT機器の認証を強化する必要があります。機器を利用する際に必要なパスワードは初期設定のものから必ず変更し、推測されにくい複雑な文字列に設定しましょう。また、脆弱性を突いた攻撃を回避するためにも、定期的なセキュリティアップデートも心掛けましょう。

パスワードの設定などについては、「セキュリティ7つの習慣・20の事例」も参照してください。

  • 習慣3(IDとパスワードを強くしましょう)
  • 習慣7(万が一、問題が起きた時は早めに連絡・相談をしましょう)

著者プロフィール

NO MORE 情報漏えいプロジェクト(エムオーテックス株式会社)


「情報漏えいの自分ごと化」をコンセプトに、メディアを通じて、難しいセキュリティをわかりやすく発信。
また、企業のセキュリティ教育に活用できる世界一ゆる~い、セキュリティブック「セキュリティ 7つの習慣・20の事例」を無償提供中。セキュリティブック・講師用資料・テスト・ポスターのデータはこちらからダウンロードできます。